 |
〜目次〜 |
|
(はじめに) (使うとき) |
(作るとき) |
|
|
〜目次〜 |
|
(はじめに) (使うとき) |
(作るとき) |
|
「ホームページ」と言うと、みなさんは何を思いつくでしょうか?
実は、この言葉は少し間違った使い方が定着しています。 一般的にブラウザを使って見る、様々な情報が書かれたものをホームページと呼んでいます。 しかし、正しくは「ウェブサイト」(Web Site)と呼びます。
ウェブ(Web)は蜘蛛の巣という意味です。蜘蛛の巣のように張り巡らされたネットワークをそのままイメージとして捉えた言葉です。そして、サイト(Site)は敷地や位置、置き場所の意味ですから、合わせてネット上にある情報の置き場所を指してことになります。
ウェブサイトの多くは複数のページからできています。ウェブサイトで表示される1つ1つのページは、HTML(HyperText Make-up Language)という記述方法で書かれたテキストファイルです。このHTMLによって、多くのページが画像を同時に表示して、見やすくレイアウトされています。また、中にはHTMLファイルを自動的に作成するプログラム等を使用している場合もあります。
では「ホームページ」とは何を指しているのでしょうか? ブラウザを起動して初めて表示されるページのことをホームページと言います。ブラウザの設定画面を見るとそのように書かれているのが分かります。
また、ブラウザにはホームページを表示するメニューやアイコンが用意されています。家の形を示したアイコンがそれです。これを押すことで起動時に表示した画面に戻りますので、良く使うと思います。家に戻るということは、出発地点に戻るということなのでしょうか。
以後、このサイトでも「ホームページ」という言葉を「ウェブサイト」と同義として使いますのでご承知下さい。
「インターネット」は全世界に張り巡らされたコンピュータの通信回線網のことですが、ホームページを使う・見ることを指す言葉ではありません。
では、このようなホームページを閲覧するサービスをなんと言うのでしょうか。「ウェブ」という言葉を聞かれたことはあるでしょう。正しくは「World Wide Web(ワールド・ワイド・ウェブ)」と呼び、「世界広がる蜘蛛の巣」の意味です。略して「WWW」とか「Web」などと表記します。
この「WWW」というサービスに必要なものが閲覧ソフトである「ブラウザ」です。今日のグラフィックを表示できるブラウザの歴史は「NCSA MOSAIC」に始まり、「Netscape Navigator」「Internet Explorer」「Opera」など様々なものが作られています。インターネットには多くのコンピュータが繋がっている訳ですが、ホームページや写真などのデータを保存し利用者にデータを送信するコンピュータをサーバーと呼びます。
それに対してブラウザを利用してデータを受信するコンピュータをクライアントと呼びます。
コンピュータはこのようにデータを送る・受け取るという仕事をしていますが、クライアント(ブラウザ)はデータを受け取るだけでなく、通信に必要なデータを送信しています。簡単にどのような情報がクライアントからサーバーに送られてるのか見てみましょう。
通信に関する情報
まず、絶対に必要なのが通信に関する情報です。その中でもクライアントを特定するための「IPアドレス」があります。
これがないと、サーバーはデータをどこへ送れば良いのか分かりません。
また、IPアドレスを分かりやすく表記したリモートホスト情報もあります。これらの情報からユーザーの利用場所(固定IPの場合)や利用プロバイダの情報を知ることができます。ブラウザ独自の情報
ブラウザが独自に送信する情報は個人情報を含むことがあります。また、使用するブラウザによっても異なります。
ブラウザの名称とバージョン、OSの名称とバージョンのように使用環境を表すものの他に、直前に閲覧したホームページのURLなどがあります。
このURLの情報は直前のものですから、リンクの元を示しています。これによりユーザーの履歴を知るということがあります。ただし、1つ前のページだけですからその点は安心でしょう。また、手入力でURLを呼び出した場合には情報は送られません。任意の情報
上記で紹介したものは常にブラウザから送信される情報でした。この他にも利用者が任意に送ることのできる情報もあります。
フォームと呼ぶ、入力項目にデータを記述し、送信する方法です。基本的に入力は利用者が行いますので、個人情報を入力する場合に注意することができます。
cookie(クッキー)という機能では、自動的に少量のデータを送信しますが、フォームに入力されたデータを再利用したり、サーバーから送られてきたデータを返す機能です。ブラウザの設定で機能を制限できます。
このようにフォームやcookieを利用した情報の送信では、任意に情報を送ることができますが、個人情報を記述する時点で送信をして良いか(相手に知らせて良いか)どうか、常に注意を払う必要があります。
インターネットの利用で最も危惧されるのが、個人情報の漏洩です。しかし、普通に様々なサイトを訪問して情報を集めたりするだけでは、あなたの個人情報が他人に知られるということはありません。多くの場合、利用者自身の手で個人情報が外に出ることになります。
いろいろなホームページを見ているとあちこちでアンケートのフォームを見かけることでしょう。プレゼントにつられてアンケートを記入する場合もあります。
ハガキや電話と違って、いつでも気軽に懸賞の申込みなどができるので、非常に便利です。
しかし、その手軽さでついその危険性を忘れてしまいます。この時に考えて見てください。自分の個人情報を見えない相手に渡して大丈夫なのか・・・。
一度送った情報は取り返すことが出来ません。そして、受け取った情報を相手がどのように扱うかも分かりません。最近は、プライバシーポリシーとして、個人情報の取扱を定めて利用者に公開していることが多くありますので、自主規制ではありますが、そのような情報管理をしているかどうかも、相手の信頼度につながると思います。
でも、安全に完璧はありません。いくら会社が法律を守ろうとしても、その社員が不正を行うこともあります。
また、最初から個人情報を集めることを目的としたサイトも存在しています。利用者を安心させるために、見た目は懸賞サイトを装っていることも考えられます。利用者にはその裏側を垣間見ることはできないからです。フォームによるアンケートの送信だけでなく、訪問の事実を探るために「ボタン」だけを設置していることもあります。
「ここを押してね」とか「訪問記念」というようなボタンを押すと自動的に相手にあなたの情報が送られるようになっています。フォームの送信と仕組みは同じで、送信ボタンだけが用意されているのです。
これには2つのタイプがあって、ブラウザの機能を使ってメールが発信されるものと、CGIで情報解析されるタイプがあります。
前者はブラウザに付属のメール機能を使うもので、そこに設定したメールアドレスでメールを発信することになります。利用者側にはメールを送った痕跡は残りません。メールソフトがブラウザと独立している場合は安全ですが、ブラウザのメール機能にメールアドレスが入っていない場合に限られます。
後者の場合は、あなたがフォームに入力した情報以外に、あなたの個人情報が相手に届くことはないからです。
また、この手法を用いてデータが送信される場合、警告のダイアログが表示されるようになっています。もし、警告が出ないように設定を変更した場合は、元に戻した方が安全と言えます。
これは非常に困った問題です。
安全性の抜け穴と言えば分かりよいでしょうか。しかし、これには様々な原因が考えられますが、多くは人災と言えます。
多くは、プログラムのミスであったり、プログラムの不具合を誘発する利用方法の発見によってセキュリティホール(安全の抜け穴)が発生します。
サーバーの管理者やプログラムの制作者が人間である限り、この問題はなくなりそうにありません。もちろん、インターネットの利用者が人間である限りなくならないのかもしれません。管理体制が疎かで、個人情報が外に漏れやすい状態になっている場合もセキュリティホールがあると言えます。
例えば次のような状況の場合に、問題点が考えられます。
ブラウザのセキュリティホールが良く話題に上りますが、それはほんの一端だと思います。
- サーバー
外部からのアクセスが容易で、悪意を持った者が管理者のパスワードを盗み出し、他の利用者のパスワードや個人情報を盗む。
当然に外部からのアクセス(ホームページを表示させるため)が多いため、管理者のミスが情報漏洩に繋がり易い。
- プロバイダ
サーバーや顧客情報の管理がずさんで、誰でも個人情報を持ち出すことが可能。
サーバーの管理はもちろん、社員が自由にデータを取り出したり、持ち出したりできれば、セキュリティの意味がない。
- ブラウザ
ブラウザを通じてパソコンの中にある個人情報を持ち出すプログラムがホームページに仕組まれている場合。
ブラウザのメーカーが修正する以外に対処の方法がないため、ブラウザを使い分けるとか、メーカーのアナウンスを頻繁にチェックする必要がある。
また、悪意あるページにアクセスした場合にのみ問題が発生するため、セキュリティホールのあるブラウザでは知らないページの利用を控える。
- クライアント
個人のコンピュータ内に悪意あるプログラム(ウイルス)が存在し、個人情報を外部に送信する場合。
外部から故意に悪意あるプログラムを持ち込まれる場合もある。企業情報や個人情報の漏洩が簡単に行われてしまうが、原因も特定しやすい。事務所などで、誰もがコンピュータを使えるように設置されており、中にある個人情報(顧客情報)も誰でも見たり・印刷したり・保存したりできる。
また、マクロウイルスのようにアプリケーションの便利なマクロ機能を悪用しているものもあり、常に最新の情報に目を光らせておくことも重要です。
CGIとは、Common Gateway Interface の略で、ブラウザ(HTMLファイル)とサーバーのプログラムが情報交換を行う手段を言います。(SSIというものもある)
このCGIを利用する代表的な事例が、アクセスカウンタです。これはアクセスの人数を知るために使われるもので、誰かがHTMLファイルをサーバーから呼び出す(ブラウザで見る)とファイル内に埋め込まれたCGIを呼び出すスクリプトがサーバー内のプログラムを動かし、その結果をHTMLファイルに送ります。送られるのはテキスト(文字列)で、それがHTMLファイルの中に組み込まれるのです。CGIが重要なのは、これによって利用者の情報を集めることができる点です。
(1)SSIについて
少しだけ SSI(Server Side Includes)に触れておきます。
これはHTMLの中にサーバーの情報を組み込むために利用されます。例えば、現在の時間であったり、ファイルの作成日や容量、テキストファイルも組み込めます。
ホームページにファイルの更新日時を表示するのに SSI を使えば、FTPでファイルをサーバーに転送する度に日時を直す必要はありません。
更に、CGIを呼び出すこともできます。そのため、一見、普通のHTMLファイルのページであってもCGIを利用することができます。
プロバイダによっては CGI は使っても良いが、SSI は使えないということもあります。
どちらにしてもサーバーにファイル送信以外の仕事をさせるためにサーバーの負担が増大します。また、設置の方法によってはセキュリティーホール(安全性の抜け穴)となってしまう可能性があることを知って置かねばなりません。
難しいことはなしにして、ともかくCGIを呼び出すためにSSIという機能を使う場合があるということです。
カウンタを貸してくれるサイトもありますが、これらの場合、SSIを使う代わりに<IMG>タグを使っています。SSI は CGI よりも危険ですよとよく言われます。
これは SSI のコマンドが HTMLファイルに書くだけで動くようにできているからです。
他人が自分のHTMLファイルに無断でSSIコマンドを書くなんて、と思うかも知れません。しかし、BBSのように誰でも書き込みのできるページというのは存在しています。
BBSの場合、CGIがHTMLファイルを生成するために、書き込まれた SSIコマンドが実行される可能性があるわけです。対策として、SSIが使用できないプロバイダもあります。
また、SSIの使えるファイルを「.shtml」という拡張子だけに制限しているケースもあります。(2)CGIの仕組み
例えば、counter.cgi というプログラムをサーバーに置いて、それをブラウザから呼び出せばプログラムが動作し、その結果がブラウザに送られます。
アクセスカウンタの場合、HTMLファイルのSSIからCGIプログラムを呼び出し、結果をHTMLファイルに張り付けて(結果を返さない場合もあります)からブラウザに合成後のHTMLファイルを送ります。
下図はSSIを使った場合の動作結果です。
元のHTML <HTML>
<BODY>
あなたは <!--#exec cmd="counter.cgi"--> 番目の訪問者です。
</BODY>
</HTML>
↓ CGI処理後のHTML
(ブラウザに送られる)<HTML>
<BODY>
あなたは 9999 番目の訪問者です。
</BODY>
</HTML>
↓ ブラウザの画面 あなたは 9999 番目の訪問者です。
赤い文字の部分がCGIにより処理された部分です。文字列を返しますので、ここに<IMG> タグが戻ってくれば画像が表示されます。画像のカウンタも原理は同じなのです。
さて、このサーバーで動くプログラムの代表的なものが「perl(パール)」です。これについてはCGIの専門サイトや専門の書籍を読んでいただくとして、利用者にはその仕組みだけ分かっていれば十分です。カウンタを作る場合、ただデータを送り出しているだけではなく、データを記録・更新しなくてはいけません。
来訪者がHTMLファイルを呼び出す度に、CGIのプログラムも呼び出されます。
そのCGIプログラムは呼び出される毎に記録してあった来訪者数を呼び出し、そこに1を足して、新しいカウントを保存すると同時にHTMLファイルへと送っています。
同じページを何度表示させてもカウンタが同じときもありますが、これはブラウザがキャッシュを利用しているためです。通信すると時間がかかるため、ブラウザは一度表示した画面(HTMLファイル)をメモリやディスクに残して置くのです。同じ画面を呼び出すとキャッシュからHTMLファイルを呼び出すため、そこに含まれるカウンターも同じものが表示されるのです。
実際にはカウンタだけならSSIだけでも可能です。また、アクセス解析など画面に結果を表示しない(HTMLファイルに結果が戻らない)CGIもあります。アンケートで利用されるフォームもCGIを利用しています。
これはアンケートを自動的に集計するのに非常に便利だからです。
アンケートの場合、そこに自分で入力したものが相手に記録されることは当然理解できますし、あきらめてもいることです。
しかし、CGIを使うとそれ以外の情報も入手できるのです。
下にある「解析」ボタンを押してみてください。(表示だけで記録はしません)
フォームの記述 <FORM ACTION="CGI/kaiseki.cgi" METHOD="GET">
Your Name: <INPUT TYPE=text NAME="USER_NAME" VALUE="Your Name"><P>
<INPUT TYPE=submit VALUE="解析">
</FORM>フォームの「Your Name」が CGI に送られています。
それ以外にも様々な情報を取得していることを確認してください。そして、これら全てがサーバーに記録可能な内容だということです。(4)CGIの見分け方
CGIを使ったページを見分ける方法はいくつか考えられます。
ただし、ブラウザが自動的に送ってしまう情報の取得に限れば、CGIを使っているかどうかの判断は不可能です。
もちろん、CGIを使っているからといって記録されているとは限らないので、記録されているかどうかまでは判断できません。
- ボタンがある場合
これは必ずとは言えません。ボタンを表示するのは<FORM>タグを使っているので、そこからメールを呼び出す(アンケートを送信する)のか、ただリンク先を呼び出すのか、CGIプログラムを呼び出すのか、JavaScriptを呼び出すのか、様々な使い方があるからです。
- リンク先のページが「*****.cgi」と拡張子が付いている
これは明らかに CGIプログラムだと言えます。「pl」や「shtml」も使われますが、実際には拡張子は自由に付けられますので、これ以外のCGIプログラムもあります。
- カウンタが付いている
カウンタ機能と同時にアクセス解析を行っている場合が多いと思われます。
JavaScript でも実現できますが、その場合はサーバーに記録を残すことはできない。(次項「cookieについて」参照)
例えば、おみくじのようなものだと、ただ、メッセージを選んで表示するだけでできるので、利用者の情報まで集める必要はありません。(集めることも出来ます)
cookie は「クッキー」と呼びます。食べ物のクッキーのように手軽にという意味が込められています。
BBS やチャット、ショッピングサイトのように何度も繰り返し訪れる可能性があるページに利用されています。
フォームに自分の名前やメールアドレスを入力すると、次には自動的に入力されているというものです。非常に便利な機能です。ときどき「cookie は危ない!」ということを聞きますが、CGIやSSIと違い cookie が使えるから危険だということではありません。
個人情報をサーバーに記録するのではなく、個人のコンピュータの中に記録を残すという仕組みであり、それ自体に危険性はなく、専用のcookieファイル(テキスト)の中に文字データを残すようになっています。プログラムでないのなら何が危険なのか。その大きな要因は個人情報がコンピュータの中に残るという点です。
まずは、cookie の動作の流れを知り、その機能制限と注意点を紹介します。(1)cookie の仕組み
BBSを例に cookie が保存され、再び呼び出されるまでの手順を見てみましょう。
クライアントの操作 ブラウザの動作 cookieファイルの例 BBSの画面を表示する
(初回)そのページで使うことのできるcookieがないので、普通に表示する。 (空) ↓ フォームに書き込み、送信する フォームの内容をサーバーに送信し、フォームの中から名前とメールアドレスをcookie 保存する。(注1)
同時に訪問回数を記録しておく。(注2)BBS_cookie=TARO&taro@xxx.co.jp&1
(名前、メールアドレス、訪問回数)↓ BBSの画面を表示する
(2回目)BBS_cookie という名前のcookieを探し、内容をフォームに転記する。(注3) 同上 ↓ フォームに書き込み、送信する フォームの内容をサーバーに送信し、フォームの中から名前とメールアドレスをcookie 上書き保存する。
同時に訪問回数に1を加算して記録しておく。(注4)BBS_cookie=TARO&taro@xxx.co.jp&2
(名前、メールアドレス、訪問回数)(注1):cookie には個別の名前を付け、利用できる範囲としてドメイン名が自動的に設定され、さらにパス(ディレクトリ名)を設定することができます。使用期限を設定しなければcookie は保存されません。期限が来るとその部分のcookie は消されます。
(注2):JavaScript や CGI を使って計算結果を保存することができます。
(注3):cookie を保存したときに利用範囲(許可範囲)が決まっているので、その中にある cookie の名前を指定して呼び出します。
(注4):計算機能を利用して訪問回数を計算した後、記録している。
(2)cookie の制限
Netscape Communicator の MagicCookie という名前の cookie ファイルを見てみましょう。
# Netscape HTTP Cookie File
# http://www.netscape.com/newsref/std/cookie_spec.html
# This is a generated file! Do not edit.www.xxx.or.jp FALSE /cgi-bin/bbs/bbs.cgi/h45 FALSE 941851127 BBS name:太郎,email:,url:www.xxx.co.jp/~TARO/,pwd:12345,color:008040
www.xxx.ne.jp FALSE /~cancer/bbs1 FALSE 941595653 GBHP name:太郎,email:,url:www.xxx.co.jp/~TARO/,pwd:12345,area:おとめ座,icon:ringo.gif
cgi.xxx.ne.jp FALSE /~TARO/CGI FALSE 943414803 SMB 太郎|||男性||||||http://www.xxx.co.jp/|||12345この中から cookie を1つ取り出して見てみましょう。
「www.xxx.or.jp FALSE /cgi-bin/bbs/bbs.cgi/h45 FALSE 941851127 BBS name:太郎,email:,url:www.xxx.co.jp/~TARO/,pwd:12345,color:008040」
「www.xxx.or.jp」はドメイン名です。cookie を呼び出そうとするHTMLファイルがこのサーバーの中にある場合に利用できることを示しています。
「/cgi-bin/bbs/bbs.cgi/h45」はパス(ディレクトリ名)です。このパスより下のディレクトリでのみ利用できることを示しています。
「/」ならば同じドメイン(サーバー)全体で使えることになります。「941851127」は使用期限です。GMT(グリニッジ標準時)を元にした時間を表しています。
「BBS」が cookie の名称です。同じ名前でもドメイン名やパスが違うことがあります。
「name:太郎,email:taro@xxx.co.jp,url:www.xxx.co.jp/~TARO/,pwd:12345,color:008040」が cookie の保存内容になります。この例では名前、メールアドレス、ホームページのURL、パスワード、色番号が保存され、それぞれの意味が分かるようにされています。
この内容は JavaScript や CGI を使って計算や文字列の連結を行って出力されたものです。この例のように1つの cookie にいくつもの内容を織り交ぜて保存する場合や、cookie の名称を変えて同時に複数の cookie を保存する場合があります。このように名前がハッキリと分かっていて、呼び出す側のHTMLまたはCGIファイルがドメインとパスの条件を満たしている場合だけ cookie を呼び出すことができる。
そして、使用期限が過ぎた場合や、cookie の数が300個を越えたときには自動的に削除されます。
更に1つの cookie は 4KB まで、1つのドメインの中で20個までと限られています。(3)cookie の問題点
便利で安心感のある機能ですが、全く問題点がないわけではありません。
セキュリティホールがあったときに個人情報の固まりである cookie が狙われる可能性があるという点です。通常、知らない間に cookie が作成されるようにブラウザの設定がなされています。
cookie が作成されるということは、サイトへの足跡だけでなく、利用者の情報も一緒に自分のパソコンに残っているということです。
最も注意するべきは、同じcookieを使用すれば、誰でも元の利用者になりすますことができるという点です。
- パソコンを共同で利用している場合、前の人の記録が cookie に残っていること。(使用者の故意とは限らない)
- cookieファイルだけを抜き出し、別のパソコンで利用される可能性があること。(使用者の故意、ウイルスによる流出など)
cookie が残る場合の問題もありますが、cookie が消えるという問題もあります。
ただ、元々、自分で入力した内容がほとんどですから、消えた場合の損失は、安全性の面では少ないかも知れません。
cookie が消えたときのことを考えて、必要なIDやパスワードのデータを控えておく必要はあるでしょう。(それらの管理も重要になります)
- 使用期限が来たときだけでなく、ハードディスクを初期化したときにも cookie は消える。
- 自宅と職場など、複数のパソコンでは cookie を共有することができない。(不可能ではありませんが・・・)
新しいマーケティング手法として、cookieを使って利用者の行動を追跡する方法が取られる場合があります。
これは、特定のコード番号をアクセスしてきたユーザーのcookieに置くところから始まります。アンケートなどの質問に答えなくとも、密かにそれはあなたのブラウザに受信されます。
そして、あなたがそのサイトをクリックしながら移動すると、その度にcookieも相手のサイトに送信されます。
すると、特定のコード番号を持った利用者が、どのような趣向を持っていて、何に興味を示すのか、そういうデータを収集することができる訳です。
もちろん、1つのサイトの中でしか追跡はできませんが、もしあなたがそのサイトのどこかに自分の名前など個人情報を入力したり買い物をしたとすると、特定のコード番号は個人情報と結びついてあなたの行動として認識されることになるでしょう。
インターネット上には様々なプログラムも配布されていて、無料または安価に利用できて非常に便利です。
しかし、インターネットという制限ある仕組みの中でのセキュリティ以上に、便利であるほど危険性もあります。リンクを装って、実はプログラムのダウンロードだったというのは良くあることで、画像やテキストファイル以外のものがリンクされていると自動的にダウンロードを始めます。
ブラウザの初期設定では必ず確認のメッセージが出ますので、取り消すこともできますが、確認メッセージが出ないようにしていたり、意味の分からないままに了解をしているととんでもないことになります。
通常、プログラムを配布する場合、ファイルを圧縮して小さくして置きます。これをダウンロードして、元の状態に復元(解凍)して利用するようになっています。
しかし、ダウンロードと同時に実行されるものがあります。Windowsマシンで動作する「.exe」と拡張子の付いたファイルです。
これは、自動解凍のプログラムの場合もありますが、中にはプログラムを自動的に組み込むところまでやってしまう場合があります。
このような方法で、知らない間にウイルスなどの悪意あるプログラムがあなたのパソコンに入り込むことがあるのです。
ダウンロードの確認画面 ダウンロード中の画面 Windows98 & Internet Explorer 5.5 上図はプログラムをダウンロードする時の確認画面(左)とダウンロード中の画面(右)です。画像をクリックすると大きなものを見ることができます。(PNG形式)
これらの意味を知らないでいた場合、知らずに危険を招いていたことになります。不正接続:
ダウンロードによる被害の典型的な例は、アダルトサイトに多い「接続ソフトのダウンロード」をする場合です。
このようなソフトをダウンロードすると、電話の接続先をダイヤルQ2などの有料情報サービスに変更してしまいます。また、海外へ電話をかけさせるというものもあります。
変更後、普段のネット利用の際にもそのダイヤルを使ってしまうため、時間が経ってから高額な請求書が届いてから気づくため、被害額が大きくなってしまいます。
プログラムをダウンロードする時は、それが何のために必要なのか、そして、どういう役割を果たしているのか、しっかりと理解していないとこのような被害に遭ってしまいます。
不安があるとき、分からないときはダウンロードを極力控えましょう。ダイヤルQ2や国際電話への通話は制限することができますので、利用しない場合は電話会社に相談してください。
また、これら不正接続を検査・発見するソフトも無料配布されています。「ネット快適化ツール」を参照ください。
ウェブ上の様々なサービスを利用する際に、IPやパスワードを各サービス毎に受け取ります。
これらの管理はホームページの利用に限らず重要なことです。もし、あなたのIDとパスワードが誰かに知られれば、あなたになりすました人がサービスを利用することになるからです。
掲示板のような不特定の人が利用する場所で、そのような情報を公開することは当然に大きな危険性を持っています。(実際にそういうケースもあった)サービスに登録するとメールでIDとパスワードが送られてきます。画面に出たパスワードを控える場合、紙に書いたり、その画面を保存したりします。
プロバイダのサービスなどは書類で送られてきます。
このように、IDやパスワードは様々な形で目に見えるように残っていることがほとんどです。これらの管理状況によって危険性が増大します。紙・書類:
鍵のかかる引き出しやカバン、金庫に保管するのが良いでしょう。
パソコンの側にメモを残しておくのが一番危険です。パソコンの中:
パソコンにパスワードを設定しましょう。スクリーンセーバーのパスワードも利用し、席を外す時にもロックをすることができます。
メールで保管している場合、メールソフトの起動にパスワードを設定することもできますが、メールのデータを取られる危険性までは回避できません。
フォルダにパスワードをかけることもできます。ネットワークで共有するフォルダには保存してはいけません。この他、パスワードの設定できる電子手帳などに記録して、原紙・メールなどを処分するという方法もあります。
最近はパーソナルシュレッダーが安価で販売されていますので、原紙の処分も慎重にお願いします。
(2006.3.18筆、2007.6.1追記)
メールとHPを利用したなりすまし詐欺です。
例えば、大手の検索サービスやフリーメールの業者、銀行などのサポートメールを装い、個人情報の確認をしたいという名目でサイトへの誘導をはかります。そのサイトは本来ある業者のURLとことなり、詐欺組織が用意したサイトに接続されます。このとき「http://www.yahoo.com」などとメールでは一見正しく見えますが、実際にクリックすると別のリンク先に接続されます。(試しにクリックしてみてください)
HTMLメールを使うとHPと同様にリンクを組み込むことができますので、メールの自動リンクの機能に見せかけたリンクを作ることができるのです。
また、この手法の高度なものには、サイトをハッキングして詐欺用のページを作成したり、DNSの情報を書き換えて偽物のサイトに正規のURLを誘導するファーミングというものもあります。高度なフィッシング詐欺としてパーソナライズフィッシングがあります。これは事前に手に入れた個人情報を使って、正規のサイトだと信用させる手法です。
メールを送信し、クリックさせるときに識別コードの入ったURLを利用します。もしくはメールアドレスから個人を識別し、画面にアクセスしてきた人の名前や住所、正規のID番号や口座番号を表示します。そのため、正規に入手した個人情報と思わせて、口座番号やパスワードを入力させるものです。これらは正規のサイトであるように利用者をだまして個人情報を入手し、今度はそれを利用して正規のサイトから完全な個人情報を盗んでしまうのです。
クレジットカードのパスワードや オンライン銀行のパスワードが標的になりやすく、だまされると口座からお金がなくなったり・知らない請求書が届く事態になってしまいます。
米国の場合、社会保障番号を盗まれるケースがあり、実社会で個人になりすますことができてしまいます。【フィッシング(Phishing)】
HTMLメールを送信し、利用者を偽サイトに接続させて個人情報、クレジットカードや銀行口座の情報を盗み出すことです。
通常のメールであれば、表示のURLにそのまま接続できますが、HTMLメールの場合、表示のURLとリンクのURLを別に記述することができるため、正規のサイトと思いこんで詐欺サイトに接続してしまいます。(例:www.guardian.ne.jp)
主なパターンでは、メールで個人情報の確認や更新を促してリンク先に接続させます。ページを開くと、個人情報を直接入力させたり、オンラインサービスへのログインのためと称してIDやパスワードを入力させます。正規のサイトではありませんから、入力した情報はその時点で記録を取られ、なりすましに利用されます。オンラインバンクの場合は正規の手続きで口座からお金を引き出される危険性があります。
この詐欺の場合、偽物のサイトのURLがブラウザに表示されるため、接続直後であってもその異変に気づいて入力をしなければ大丈夫です。また、URLの表示が見えない場合も詐欺と疑った方が良いでしょう。
重要な個人情報を求められた場合、必ず正規のサイトであることを確認してください。手入力で正規のサイトに接続し、詐欺の情報がないことと利用者へメールを発信したことが書かれているか確認するのが良いでしょう。もし、メール発信の記述がなければ、メールを添付して問い合わせるべきです。【ファーミング (Pharming)】
DNS(Domain Name System)の情報を外部から改ざんし、ブラウザでアクセスする利用者を偽の詐欺サイトへ誘導する手法をファーミング詐欺と呼びます。
似たようなフィッシング詐欺では、HTMLメールを使いリンクの表示に正規のURLを表示しながら、実際には詐欺サイトのURLへ接続をさせるため、ブラウザには偽サイトのURLが表示されました。しかし、ファーミングではURLに正規の表示がなされるのです。
DNSの仕組みを簡単に説明すると、リンクをクリックすると、ブラウザやメールソフトはネット上に設置されたDNSサーバーに対してサイトのIPアドレス(住所となる数値)を尋ねます。DNSはIPアドレスを返信してサイトがどこのサーバーにあるのかを教えてくれるのです。このとき、ブラウザはIPアドレスを表示せずに、私たちにはリンクで指示されているURLをそのまま表示してくれます。もし、ブラウザが受け取ったIPアドレスが偽物だったらどうでしょうか?
ファーミング詐欺では、まずDNSサーバーをハッキングしてIPアドレスの情報を偽物に書き換えてしまうのです。そうすると利用者は正規のサイトに接続しているつもりが、気づかずに詐欺サイトに接続させられてしまいます。
このような下準備が行われたあと、メールで個人情報などの確認や更新という名目で正規のURLに利用者を誘導します。あとは正規の手続きに則ってログインを促したり、個人情報の入力を求めます。偽サイトに入力した情報は全て盗まれることになりますし、その情報を元に正規サイトから情報を引き出すこともあります。
DNSが改ざんされてもIPアドレスを直接入力することで正規サイトへの接続は可能です。しかし、その情報さえも改ざんされる可能性はあります。
まずは、ネットでの個人情報の確認や更新という手続きを信用せず、数日の時間をおいてみるしか当面の対策はなさそうです。【タイポスクワッティング(Typosquatting)】
URLの入力ミスを想定し、既存のドメインと似たドメインを取得して、偽物のページを表示させ、個人情報を盗んだり、不正なプログラムをダウンロードさせる手法。
フィッシングに比べるとかなり受動的ではあるが、サイトの危険性は同様である。フィッシングのようにメールなどでサイトを宣伝しないため発見されにくい。
判りやすいものでは、「.com」を「.net」に変えたり、「.gov」を「.com」に変えたものがあります。また、「l」(エル)と「r」(アール)のように打ち間違いを起こしやすい文字を入れ換えたり、文字を削ったり足したりしたドメインを利用している。【UNICODE悪用のスクワッティング】
タイポスクワッティングに似ているが、UNICODEにおいて似た文字が複数あることを利用して、URLを誤認させる手法もある。
例えば、英語の「A」(エー)とギリシャ語の「Α」(アルファ)は非常に似ている、というより見た目はまったく同じ物である。しかし、コンピュータはこれを別の文字として識別してる。そのため入力ミスでは発生しないが、メールなどのリンクにこのような文字の入替を行うことで、フィッシング詐欺サイトへ疑いもなく導くことが可能になってしまう。
また「l」(エル)と「1」のように違いが判別しにくいものも悪用されている。
更に、漢字も扱えるUNICODEでは、世界中の言語が対象となっているので、似た文字も多数に存在することが問題となっている。
ちなみに漢字の場合、同じ物は日本語、中国語、韓国語で統一されたコードを使っている。しかし、漢字によっては似た文字や同音異字が存在しているために、取り違える危険性は残っている。【SEOポイズニング】
検索エンジンを解析し、検索結果の上位にランクされるようにサイトを構成する手法(SEO)を応用して、スパムサイトやウイルスなど不正コードを仕組んだサイトに利用者を誘導するもの。
検索エンジンやその利用者は、キーワードを頼りにサイトを探すために、SEOを活用して偽装された不正サイトを検索の目立つ位置に表示させる。自動的にサイトを収集している検索サイトでは、偽装を見抜くことが難しい。
また検索時に表示される広告を利用して、不正なサイトへ誘導する方法もある。こちらは、正常なサイトを作って広告登録し、審査の後に不正サイトに入れ換えたり、リダイレクト(切換)して利用者を誘導する。
Yさんの場合:
自分のホームページに写真を載せていた女子中学生のページで、BBSに奇妙な(意味不明の)いたずらがきが増え始めました。
他の利用者がたしなめても無駄であったため、BBSを一時閉鎖することになりました。
このように、断固たる処置をすることは非常に重要です。現在は無事に再開されています。Mさんの場合:
彼女は自分のBBSで悩みをうち明け始めました。更に、日記で学校の話なども書いていました。
プライベートな内容でありながらハンドルネームを使っていなかったため、辛い状況になっていったようです。
結局、このページはなくなってしまいました。Hさんの場合:
自分のページがコピーされて、別のサイトで公開されていました。
ホームページの来訪者の指摘で分かり、すぐに相手にメールで連絡を取りました。
幸いすぐに返答があり、同ページを削除して、リンクに切り換えてもらうことができました。
ホームページを作るときも、機種依存文字の使用に注意が必要です。また、半角カナ文字も使わないほうが良いのです。
これらはあなたの作ったホームページを多くの人に見てもらうために知って置きたい注意事項です。
あなたのホームページを訪れるのは、あなたと同じコンピュータを使っている人ばかりではありません。使用可能な文字がコンピュータのOSによって異なったり、半角カナ文字は使用されないことが前提になっているためです。
それぞれ詳しくは「ネチケット」の項目をご覧ください。
ホームページで何をしたらいいのだろう?とお困りの方もおられるでしょう。
しかし、あれもこれもやりたいとお困りの方もおられることでしょう。さて、自分のページだから、何をやってもいいのでしょうか?
ホームページは個人の空間なのでしょうか?それとも公共の空間なのでしょうか?ホームページは個人の家のようですが、壁もなく、垣根もなく、誰でもその中を見たり・掲示板に書き込んだりすることができます。
責任という点では、制作者が来訪者に対して果たさなければならないわけですから、個人の責任で公共の場所にいることになります。先ほど壁もなく垣根もなくと書きましたが、実はそうではなく、家の中に入ってみないとその中に何があるか分かりません。
この辺がホームページを探すときに難しいところです。遠くから必要なものがどの家にあるか分からないので、およその辺りを付けて行くしかないのです。
そのために検索サイトなど、ホームページの情報を集めているサイトを利用して、そこから目的のホームページを探すことが多いでしょう。
そうやって誰もが家の中にやってきます。しかし、それが招かれた客かそうでないかは分からないのです。ホームページは公共のものという観点で本題に入りましょう。
公共の場であれば、およそどのような行為が許されないか分かるものです。それが正しいホームページを作る原点です。
やってはいけないことを列記しますので、このようなことのないページ作りを目指してください。
リンクは必ず相手に断らなければいけないと決まったものではありません。
- 嘘の情報を書く
目的にあった内容が誤認されないように書かれているかどうか注意が必要です。明らかに間違った情報は指摘があれば訂正をするべきなのです。
- 他人の権利を侵害している
著作物のコピーをそのまま載せていたり、いかにも権利者であるかのように見えないかどうか。これは窃盗や詐欺と同じことです。
写真やイラストだけでなく、他のページで利用や公開されているファイル(HTML、グラフィック、音楽、プログラム)の全部でも一部であっても作者の了解なしに二次利用(加工したりして利用すること)はできません。
必ず作者に了解を取るか、了解の要らないと書かれたものを利用します。
- 違法なものが利用できる
基本的にサーバーの設置されている国の法律で禁じられている情報が利用できる場合。
カジノなどの賭博行為、違法な写真の公開、不法なものの売買や入手方法の公開などしてはいけません。また、そのような情報があるページへのリンクも処罰の対象になっています。
ただ、リンクを嫌がる人も中にはいます。
しかし、リンクがあってこそのインターネット(WEB)ですから上手にリンクを張って、来訪者と情報が共有できるようにして行きたいものです。
リンクの先は他人の管理場所で好きなようにはできませんが、何もしなくても良いという楽さもあります。敬意を持ってリンクを張りましょう。さて、このリンクですが、利点もありますが、ちょっとだけ問題があります。
それはそのページがなくなってしまうことがあるということです。自分のページなら間違いを直せば良いのですが、知らない間にリンクが切れているということもままあるものです。
定期的に調べるしかないのですが、やたらめったら何でもリンクをすれば良いというものではないということです。本当に利用者のことを考えてリンクを張るなら、利用しやすいことと利用できることの確認を忘れないでください。
ホームページには作者のプロフィールがついています。
やはり女性のページなら男性諸氏には気になる部分でしょう。
まさか、ここに住所や電話番号を書いておく人はいないでしょう。
一番問題になるのは写真です。もちろん、写真を置くことを非難しているのではありません。
その写真は簡単に複写できるということを知っておく必要があります。
また、それによってしつこく集まって来る人もいるということも認識が必要です。もし、きっぱりと嫌な相手をはね除けたり無視したりできない場合、写真は載せない方が身のためです。
メールアドレスにも注意してください。Web上に公開したメールアドレスは不特定の人々が目にします。また、それだけでなく、メールアドレスを収集するプログラムによって自動的に集められることになります。そうしたメールアドレスは他人に利用してもらうために公開している訳ですが、必ずしも期待通りの使い方をされるわけではありません。
クロウラー(自動収集プログラム)を使って集められたメールアドレスは名簿業者によって、様々な目的を持った人に売られてしまいます。数万円で何十万件、何百万件というメールアドレスが買えてしまうのです。そのほとんどがスパムメールという広告メールに利用されます。合法的な利用(迷惑メール規制法)は極わずかなのが現状です。
そこで、プライベートなメールアドレスと、公開用のメールアドレスを別にすることで対処します。公開用のメールアドレスにはプロバイダや勤務先の分からないフリーメールなどを活用します。フリーメールはヤフーやMSNなどが無料で発行してくれます。ただ、フリーメールの中にはプライベートなメールアドレスを入力させたり、アンケートを取って広告メールに利用するところもあるので、気を付けてください。
自動収集に対する対策はこちらのページで解説しています。
個人のホームページでもバナー広告を見ることがあります。
その多くは登録会員が広告業者の提供するバナーを設置して、見返りを受けるというものです。
しかし、そのバナーも表示が遅いと非常に迷惑です。また、レイアウトにも支障をきたします。
見返りを現金やそれに類するもので還元するというページもありますが、短期間で運営を中止して消えてしまうというケースもあります。
スポンサーが付いているみたいで格好いいかもしれませんが、安易なバナー広告は見た目にも邪魔なのであまりお勧めできません。メールアドレスや個人情報を集めるだけに利用されないためにも、利用者の意見を聞くなど、業者の評判を集めてからでも遅くはありません。
ホームページの利用者にとって、ハイパーリンク(キーワードやアイコンをクリックしてリンクすること)は最も多く利用する機能でしょう。そして、それこそがインターネットを発展させた技術とも言えます。
書類が1つの場所にあるだけでなく、お互いに関連性を持たしてページをめくる感覚でつながっている。1つの書類を参照すれば、誰もが同じように関連リンクを利用して資料をたどっていけるのは、本当に便利です。「相互リンク」とは、ホームページを製作している2者がお互いにリンクを張って、利用者がページを行き来するためのものです。
リンクは本来、関連する用語や資料となるページを参照するためのものでした。それが相互になると、友達同士であったり、ネットで知り合った同士が、友達に友達を紹介するというような感覚で行われています。
しかし、時には「相互リンク」してくださいと言う要望が送られてくることがあります。
それは知らない人からのメールであったり、掲示板で知り合った人の書込であったりします。「相互リンク」で最も問題となるのは、知らない人からの要望に応えた場合です。
中には相互リンクと言いながら、とても一般的でないページも存在します。ひどい場合には、商業サイトの中にただリンク先を一覧にならべているだけで、単なる人集めを目的としているものもあります。
同じ様な文面をあちこちに送って、単にページの利用率を上げるために、その商売に利用するだけという場合もあります。相手のページが特に業者の場合、本当にそのページに自分のリンクがあることがふさわしいかどうか、また、逆に相手へのリンクが自分のページにふさわしいかどうか判断する必要があります。
実際に、アダルトサイトや不法なプログラムを扱うサイトへのリンクは違法行為とみなされています。リンクにはリンクする側の責任も問われる場合もありますので注意が必要です。
みなさんは「index.html」というファイルを見たことがあるでしょうか。
もしかするとあまり見覚えがないかもしれません。しかし、ホームページを作る者にとっては非常に重要なファイルなのです。
例えば、ここネットガーディアンにアクセスする場合、次の2つの方法があります。(個別のページは別として)
(1)http://guardian.ne.jp/
(2)http://guardian.ne.jp/index.html
この2つの違いを明確に理解しておく必要があります。URLやドメインについては「ドメインの仕組み」を参照してください。
(2)のアクセス方法は特定のファイルを指定したアクセスで、各ページへのリンクには書かせないものです。
(1)は結果として(2)と同じ画面が現れますが、場合によっては違う結果が現れます。
それは、(a)index.htmlが存在しないとき、そして、(b)サーバーの設定によります。
まずは、(b)から説明します。実はサーバーの設定によってファイルを指定しない場合、そのディレクトリから決められたファイルを探すことになっているのです。それが一般的に「index.html」となっているため、サーバーによっては「home.html」など異なった設定になっていることがあります。さて、重要なのはこの(a)の場合です。サーバーの設定によって「index.html」を探すようになっているにも関わらず、そのファイルがないときにはどうなるでしょうか。
サーバーの設定によってはアクセス拒否を行いますが、一般にはディレクトリを表示する場合が多く見受けられます。
ディレクトリを表示するというのは、その中に入っているファイルを全て列挙した一覧表になっており、各ファイルを直接呼び出すことができるのです。
その上、前後のディレクトリも見ることができるため、cgiが入ったディレクトリや画像データのディレクトリなど、あまり見られたくないディレクトリが簡単に目に入ってしまいます。
特にcgiのディレクトリだと、ログファイルなどがあった場合、それを見ることもできるわけですが、恐いのはそれを書き換える手段ができるということです。通常ログファイルを扱うディレクトリは書き込みを一般にも許可しています。そうでないとログファイルが残せないからです。まあ、理屈は良いとして、簡単な防衛手段があります。
それはそのディレクトリに「index.html」を置くことです。BBSなどを設置した場合、その管理ファイルを見られたり、書き換えられたりすると大変です。
サイトの最初のページとしてだけでなく、サブディレクトリのセキュリティのためにも「index.html」は非常に有効な手段となってくれます。
